Введение

VMware ESX Server имеет встроенный программный файервол, называемый “security

profile”. По существу это файервол для самого хоста, включая service console (если это не ESXi сервер), но не для виртуальных гостевых систем, находящихся на нем. В этой статье вы узнаете как это работает, как настраивается через GUI и CLI.

Как работает VMware ESX Server Security Profile

Как програмный файервол профиль безопасности VMware ESX Server обеспечивает контроль и мониторинг за входищими и исходящими соединениями к TCP&UDP портам. Это необходимо для защиты сервера от сетевых атак. 

По умолчанию, только особые входящие соединения разрешены к серверу VMware ESX. В частности, на ESX 3.5 Server разрешены только SSH и порты связанные с VMware Infrastructure & управляющими сервисами Virtual Center. Если вы хотите дать доступ к серверу для другого приложения, вам необходимо открыть порт.

Почему VMware ESX Server Security Profile так важен, если вы админ ESX Server?

VMware ESX Server Security Profile важен для вас, если вы администратор ESX Server по следующим причинам:

• Изучив данный компонент вы сможете понять как защищен ваш сервер от атак и как вы можете правильно защитить ваш сервер.
• Если имеются сервисы ESX, которые вы хотели бы разрешить. например FTP или NTP, вам необходимо открыть порты в профиле безопасности.
• Если вы установили стороннее приложение на сервер, вам часто необходимо открыть для него порты.

Каким образом я могу настраивать профиль безопасности в VMware ESX Server VI Client?

Ждя конфигурирования профиля безопасности в VMware Infrastructure Client (VI Client), откройте клиент, залогиньтесь, и нажмите на ESX Server, как показано на рисунке ниже:

Далее вы должны перейти в закладку Configuration, потом в Security Profile.

Теперь вы можете видеть слева какие порты открыты на вашем сервер (для входящих и исходящих соединений). К примеру, на этом сервере, вы можете увидеть, что для входящих соединений открыты SSH и CIM (используются для VI Client и Virtual Center), а для исходящих соединений открыты SSH, Virtual center, VMware License server, iSCSI, NTP, и VCB.

Каким образом можно изменить настройку портов? Для ответа на этот вопрос нажмите на кнопку Properties, как показано на рисунке 2 сверху. Вы увидите следующее окно:

Из окна свойств Security Profile вы можете разрешать доступ для преднастроенных приложений и портов.

Давайте предположим, что мы хотим разрешить сервису SNMP и входящий и исходящий трафик. Для этого просто отметьте переключатель напротив этого сервиса. В нашем случае я разрешил входящий UDP трафик на 161 порт и исходящий UDP трафик на 162-ой  порт.Для применения изменений, нажмите OK.

Если порт связан с каким то демоном, слушающим этот порт, вы можете нажать кнопку Option и посмотреть какой сервис связан с ним, подробнее на картинке ниже:

Так как я не хочу делать никаких изменений для этого сервиса, просто жмем OK.

Обратите внимание, что предконфигурирование приложения ограничены и так же ограничены их входящие и исходящие порты, и с GUI интерфейса вы не можете их поменять или добавить новый порт или приложение.

Синтаксис команд довольно прост. Для просмотра всех опций, наберите саму команду esxcfg-firewall и нажмите Enter.

Для просмотра всех открытых портов, используйте esxcfg-firewall  -q.

Для открытия определенного порта, вы должны ввести следующую команду:

[root@ESX3 root]#  esxcfg-firewall -o 1000,tcp,in,test

Однако, не ждите чтобы ваши CLI изменения появились в GUI интерфейсе.

Вы также можете сконфигурировать диапазон портов:

[root@ESX3 root]#  esxcfg-firewall -o 1000:1050,tcp,in,test

Автор:

David Davis

Оригинал ¹⁷